В ответ на:

---

Камешек от меня в сторону NOD32 версии 2 ( с локальным обновлением баз 1-2 раза в неделю:
У жены на работе возникла проблема: При загрузке системы вылезала табличка "не найден файл csrcs.exe"
Пришлось найти в реестре ссылку на csrcs.exe в ключе
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\ CurrentVersion\Winlogon
значение Shell REG_SZ Explorer.exe csrsc.exe и удалить.
На форумах потом нашел рекомендацию удалять только часть после Explorer.exe, т.е. только csrsc.exe, ибо после удаления вроде бы не запускается панель задач, но у меня все нормально работает (?)
На флешке данный вирус (или троян) создает файл autorun.inf с помощью которого проникает на ПК, прописывается в реестре (создает до трех ссылок), записывает себя в системную папку, создавая файлы csrcs.exe и csrcs.dll
Получается, что NOD32 пропустил-таки вирус на компьютер, позволил ему прописаться в реестре (пусть и не полностью во всех ветках) и, может быть, в системной папке, а затем (так как у знакомой не оказалось на ПК файлов csrcs.exe и csrcs.dll) все-таки удалил вирус (или все-таки не дал записаться в системную папку??). Однако, с флешки NOD32, похоже, не удаляет это файл, ибо распознавая csrcs.exe, NOD из-за активного состояния вируса не может удалить его (в наших тестах на x-soft'е NOD тоже был замечен в таком поведении) и при повторном втыканиии флешки сразу же после типа "лечения", вирус обнаруживался снова.
Кстати, AVG8 хорошо справляется с csrsc.exe не позволяя ему абсолютно никаких действий, ибо у жены на той же работе и с теми же вирусами, ПК остался незараженным. Учитывая, что этот вирус старый, ориентировочно от 24 ноября 2007 года, реакция на него NOD32 выглядит несколько странной.

---

В ответ на:

---

Trojan-Downloader.Win32.AutoIt.fn

Детектирование добавлено 20 дек 2007 03:41 MSK
Обновление выпущено 20 дек 2007 04:23 MSK
Описание опубликовано 16 дек 2008
Поведение Trojan-Downloader, троянский загрузчик

Технические детали
Деструктивная активность
Рекомендации по удалению Технические детали


Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер - около 603 КБ. Написана на C++.
Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":
%System%\csrcs.exe

Далее файлу присваиваются атрибуты "скрытый" и "только чтение".

Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.

Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"Деструктивная активность


Троянец изменяет значения параметров следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"

Таким образом, троянец отключает отображение скрытых файлов и папок.

Троянец производит загрузку файлов со следующих URL:
http://www.whatismyip.com/automation/%2A%2A%2A%2A%2A945.asp
http://sousi.extasix.com/%2A%2A%2A%2A%2Ast.htm
http://lemox.myhome.cx/%2A%2A%2A%2A%2Aom.htm

Загруженные файлы сохраняются в кеш Internet Explorer.

Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.

По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows:
%Temp%\suicide.bat

В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.

Далее файл "%Temp%\suicide.bat" запускается на выполнение. Рекомендации по удалению


Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
При помощи ("Диспетчера задач") завершить троянский процесс.
Удалить параметры в ключах системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%System%\csrcs.exe
Очистить каталог %Temporary Internet Files%.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

---